Erich sieht

So kann BCM auch aussehen:

MDR-Text im Internet

Die Geschichte zum Screenshot steht dort.

Als Berater würde man so etwas jetzt aufbauschen und ganz schlimm finden. In Wirklichkeit ist es einfach egal, die Website des MDR war ohne Störung nicht wesentlich interessanter.

Ich hatte hier versprochen, gelegentlich zu erläutern, wie Zertifizierung und Prüfsiegel funktionieren. Jetzt bietet sich eine Gelegenheit. Frau Neudecker von der Zeit hat diesen unscheinbaren Gegenstand ausgegraben, der auf den schönen Namen Peloop hört. Die Leistungsbeschreibung liefert sie gleich mit:

»Im Peloop ist nämlich ein Magnet, der “ein magnetisches Feld rund um die Peniswurzel bildet, dort wo das Blut in den Penis fließt.”

Dann ist darin noch “Turmalin und Germanium” enthalten (öh, sagt der Hersteller), die “negative Ionen absondern”, und “ferne Infrarotstrahlen” gibt das Ding auch noch ab. Ja, klar.

Was all das bewirken soll? Es verbessert “das Blut im Inneren des Penis”.«

Das ist – im Zusammenhang – offensichtlicher Nonsens. Falls das Ding eine nennenswerte Wirkung hat, dann dürfte diese Wirkung allein auf mechanische Einflüsse  zurückzuführen sein und nicht auf die oben genannten Eigenschaften oder die leuchtend gelbe Farbe. Das versteht jedes Kind, so es denn mit solchen Sachen spielen darf. Dennoch bietet sich hier ein weites Feld für sorgfältige Prüfungen, die allesamt handfeste, unzweifelhafte Ergebnisse liefern, ohne je die entscheidenden Fragen zu stellen. Und das geht so. Read the rest of this entry »

Wer könnte solch einer Einladung widerstehen?

Ich nicht, und der Klick aufs Werbebanner führte erwartungsgemäß zu einer nur beschränkt seriösen, aber wohl legalen Website.

What is the purpose of antivirus companies? They produce tools to detect and remove malicious software on a large number of computers. Their basic process is pretty simple. They collect samples of new malicious software from various sources, including the general public. You, too can send a piece of software to antivirus companies if you suspect it might be malicious. Each sample will be analyzed by the antivirus company. If it really is malicious, a signature will be produced and disseminated to all users of the company’s products through an automated mechanism. After receiving the new signature, antivirus software is capable of detecting the new malicious software and often also stopping it from working in one way or the other.

Sounds innocent, but the bad guys discovered this might be a suitable infrastructure to enforce end-user license agreements. If you rent a botnet and fail to comply with its operators’ terms, they threaten to forward your bot to antivirus companies. I really like that idea, although I see a couple of pitfalls here, as do the guys who originally reported this.

Es gibt tatsächlich Helme für Kleinkinder. Nicht für aufm Fahrrad, sondern einfach so. Laufen lernen muss irrsinnig gefährlich sein. (via)

Why don’t we simply shut down terrorists?

(via Δfoxtrot)

Update: Shocking, but False, comments a TSA spokesman.

Intrupreneurs.

Und wieder Werbung, die Fragen aufwirft:

(Banner aus einer Anzeige von Qalsys auf Heise Online)

Wo sehen Sie hier Schwachstellen und was müssen Sie tun, damit Sie hinterher sicher sind? Oder anders, unter welchen Umständen erhöht es Ihre Sicherheit, wenn Sie die Lücke im Zaun schließen?

Vor einer Woche hatte mich eine Werbemail der Firma ClearSwift zu diesem Ad-hoc-Test inspiriert. Versprochen war Data Loss bzw. Data Leak Protection und ich wollte wissen, ob der Anbieter schnell merkt, dass jemand über ihn bloggt. Erbeten war eine schnelle Reaktion hier im Blog oder auf anderem Wege. Einen festen Termin gab es nicht, aber eine Woche sollte wohl genügen. Reaktionen gab es keine. Das könnte verschiedene Gründe haben:

1. Ich habe das Konzept der angebotenen Lösung nicht verstanden und der ganze Kram hilft gar nicht gegen Blogger, die unerlaubt über die Firma bloggen. Dann stellte sich allerdings die Frage, warum Blogs und Web 2.0 in der Werbung vorkommen.
2. Vielleicht hilft die Lösung tatsächlich gegen unerlaubte Firmenblogger, aber nur unter bestimmten Randbedingungen. Sie könnte zum Beispiel erfordern, dass der Blogger aus dem Firmennetz bloggt oder dass Geheimnisse erst registriert werden müssen, damit die Sicherheitstechnik sie entdecken kann. In diesem Fall wäre der Nutzen zweifelhaft, wie diese kleine Demonstration zeigt.
3. Oder wir haben es mit Spielverderbern zu tun: sie haben uns gesehen, aber absichtlich nicht reagiert. Das gäbe ein Sehr Gut für die Methodik der Krisen-PR – aber leider ein Ungenügend für Nachdenken, denn in diesem Fall wäre eine Reaktion richtig gewesen.

Zum Mitspielen hätte man übrigens überhaupt keine Sicherheitslösung gebraucht, weil es ja Google gibt und Google gern Benachrichtigungen zu beliebigen Anfragen verschickt. Jeder, der auch nur eine Spur von Eitelkeit zu seinem Wesen zählt, hat einen Google Alert auf seinen Namen bestellt. Tja.

Indien hat zwar gerade nicht so viel Internet, macht aber dennoch mit Werbung auf sich aufmerksam:

Schön, dass ihnen Sicherheit wichtig ist, aber eigentlich sollte es selbstverständlich sein, dass ich wenigstens über die Originalkopie meiner Daten die Kontrolle behalte.

Im übrigen fühle ich mich jetzt ganz und gar nicht sicherer, sondern ich frage mich vielmehr, ob ich dieses Banner nicht vielleicht nur deshalb sehe, weil ich mich vorhin in einem indischen Blogkatalog herumgetrieben habe. Kann aber nicht sein, wie sich nach kurzem Nachdenken herausstellt, denn das war auf einem anderen Computer. Oder kann es doch? Vielleicht will ich es so genau lieber gar nicht wissen.

Aus meiner SpamInbox:

»Stellen Sie sich vor, Ihre Finanzabteilung versendet versehentlich vertrauliche Business-Pläne an einen externen Emailverteiler, ein verärgerter Mitarbeiter verrät im Online-Chat Firmengeheimnisse oder ein anderer verschickt im Namen Ihres Unternehmens unseriöse Emails an Ihre Kunden.«

Tja, was mache ich denn dann? Die Mail, aus der dieses Zitat stammt, empfiehlt mir, mich rechtzeitig über die Produkte und Dienstleistungen der schreibenden Firma zu informieren. Ich würde ja einfach die Finanzabteilung feuern, wenn sie sich das so redlich verdient; verärgerten Mitarbeitern rechtzeitig genügend Angst machen; und die unseriösen E-Mails selber verschicken, um sie später dementieren zu können und so zweimal billig Aufmerksamkeit zu bekommen. Statt dessen soll ich mich also über MIMEsweeper informieren und darüber, was man im Web 2.0 damit so alles verhindern kann.

Da ich solche Probleme nicht habe und meine Hauptbeschäftigung darin besteht, die Sicherheit von allem möglichen zu testen und zu bewerten, tue ich genau das: testen. Read the rest of this entry »

Die Eigenheimbesitzer unter unseren Leserinnen und Lesern warnt Dexheimer Inside vor den DachHai und erklärt, was im Falle einer Begegnung zu tun ist. Die gute Nachricht daran ist, dass man den DachHai leicht erkennt, die schlechte, dass er trotzdem oft genug sein Fressen findet und nicht ausstirbt.

Die Masche ist bekannt: irgendwo im Netz stößt man auf eine Website, die einen kostenlosen Sicherheitscheck verspricht. Dazu lädt man sich ein Program herunter und führt es aus. Dieses Programm findet tatsächlich eine Reihe von Sicherheitsproblemen oder behauptet das jedenfalls. Und es hört mit dem Behaupten gar nicht mehr auf, denn das Opfer soll auf jeden Fall die »Vollversion« kaufen, von der es heißt, sie könne die gefundenen Probleme beseitigen.

Seit es diesen Betrug auch für den Mac gibt, hat er sogar einen schönen Namen: Scareware.

AV-Test, die Virentester aus Magdeburg, die für zahlreiche deutsche Zeitschriften arbeiten, haben jetzt ihre Zahlen offen gelegt. Ergebnis: Die Zahl der Viren explodiert. Heise folgert daraus richtigermaßen, dass Signaturtestung nicht mehr zeitgemäß ist. Schön dass Herr Kaspersky darauf schon 2005 hingewiesen hat, dabei hat er auch schon das neue Zauberwort, das Heise ins Spiel bringt teilweise entzaubert. Die Rede ist von Behavioural Blockers, also Programmen, die nicht nach vordefinierten Eigenschaften von Dateien suchen, sondern nach vordefinierten Verhaltensmustern. Hier eine kleine Typologie zum Thema. Interessant auch Securityfocus. Auf der Seite von AV-Test findet sich zur Problematik leider nicht viel, dabei hat die Firma doch gerade ihre eigene Testmethodik für fragwürdig erklärt.

Mich beschäftigt seit längerem in diesem Zusammenhang auch noch eine andere Frage. Würde es nicht Sinn machen, das Nutzerverhalten bei der Virentestung zu berücksichtigen. Schließlich zeichnen sich auch die Computernutzer durch unterschiedliches Verhalten aus. Jemand, der gelernt hat, dass er keine Emailanhänge von Unbekannten öffnet, der sollte sicherer Leben als der typische Allesklicker. Mehr als die Zahl der Viren interessiert ja ihr Schädigungspotential und das ist doch durchaus abhängig vom Nutzer. Mein Vorschlag: Mindestens drei Risikogruppen unterscheiden

1. Paranoianer (Liest nur Nur-Text-Nachrichten, surft nicht im Admin-Modus, etc.)
2. Otto-Normal-Nutzer (Liest HTML-Mails, öffnet interessante Email-Anhänge, etc.)
3. Allesklicker

Solche Nutzerklassen ließen sich wissenschaftlich fundiert natürlich noch unterteilen. Anschließend die Viren so zuordnen, dass klar wird, wen sie wirklich bedrohen und schon hätte man ein wesentlich differenzierteres Risikobild.

Was interessieren mich steigende Virenzahlen, wenn die meisten Viren mich nicht wirklich gefährden. Wie Sven schon richtig sagte, erst die Bedrohung analysieren, dann die Risiken bewerten. Ich habe für diese besondere Risikobewertungsmethode übrigens einen neuen Namen gefunden: gesunder Menschenverstand.

69 Prozent der Deutschen erwarten eine Klimakatastrophe, meldete Spiegel Online im Sommer 2006. Inzwischen dürften es noch einige mehr sein, denn 2007 war das Klima ein Dauerbrenner in den Medien. Ein Musterbeispiel gelungener Risikokommunikation auf der Grundlage wissenschaftlicher Erkenntnisse?

Keineswegs. Wie wir aus einer anderen Umfrage wissen, sind 70% der Deutschen religiös. Siebzig Prozent unserer Mitbürger glauben also alles, wenn es nur gut genug verpackt ist. Die Kunst des Verpackens aber haben die Medien so weit perfektioniert, dass es sogar Wissenschaftlern unheimlich wird, die eigentlich keine Angst vor den Medien haben und sich auch schon mal mit der Achse des Guten anlegen.

Was auch immer die Wissenschaft herausfindet oder diskutiert, für die Medien ist es bestenfalls ein Anlass zu eigenen Geschichten. Ganz gleich ob man Katastrophiker, Skeptiker, gleichgültig oder etwas anderes ist, die Mainstream-Medien sind eine ganz schlechte Quelle zur Meinungsbildung. Ob wir tatsächlich ein Problem haben oder nicht und wie sicher oder unsicher die Prognose ist, wird man dort nicht erfahren. Wer eine seriöse Risikoschätzung braucht, muss sich selbst mit den Klimaforschern und ihren Kritikern auseinandersetzen. So viel Zeit muss sein.

Alvar Freude hatte einen Anlass, sich mit jugendschutz.net zu beschäftigen. Das hat er dann auch getan: Jugendschutz.net, Moral und Medienkompetenz.

Dazu.

Google gibt bekannt, dass das Unternehmen gespeicherte Nutzerdaten nicht mehr solange vorrätig halten will. Vielleicht ein feiner Zug, vielleicht aber auch nur ein Schritt zur Entschärfung einer sich anbahnenden Krise, denn die Datenschutz-Organisation plant ein Privacy-Ranking großer IT-Dienste, worüber die Goggles sich anscheinend nicht gefreut haben..

Jetzt ist es amtlich, die Deutschen sind super-sensibel und das ist gut so, denn Sicherheit braucht Sensibilität.

Wohl dem Hacker, der etwas findet und die nötigen Kontakte hat, diese Erkenntnis zu vergolden. Das auch Regierungen gerne mal mehrere tausend Euro für einen Zero-Day-Exploit auf den Tisch legen, enthüllte jetzt ein ehemaliger NSA-Experte, der einen Linux-Exploit an US-Behörden vertickt hat. Mit den Tendenzen hin zum Bundestrojaner könnte das Innenministerium auch an solchen Informationen interessiert sein. Mein Vorschlag: Beim nächsten Fund fragen wir mal an, was die so zahlen für eine Schwachstelle. Oder wir machen gleich eine Online-Auktion, bei dem das an die meistbietende Regierung verkauft wird. Eintritt natürlich nur mit entsprechendem Passwort. Wenn das Legal ist, macht Ebay da sicher gerne mit. Hach, wenn da nicht die Ethik wäre. Das Wissen mag viel Wert sein, aber ein ruhiges Gewissen ist vielleicht unbezahlbar.

Das Wallstreet-Journal meldete vor ein paar Wochen den größten Diebstahl von Kreditkarten-Informationen. Die Hacker drangen über eine WLAN-Schwachstelle ins Firmennetz des US-Konzern TJX ein und erbeuteten über 200 Millionen Kreditkartendaten bzw. kompromitierten ca. 45 Millionen Accounts. Soweit so schlecht, denn TJX ist bereits vorher mehrmals wegen ähnlicher Verluste in die Schlagzeilen geraten. Nach den Facts folgt immer wieder eine schöne Schadensschätzung, die im jüngsten Fall zwischen 20 Millionen (Selbsteinschätzung) und 10 Milliarden Dollar (Forrester Research). Schön auch dass Forrester noch mal separiert und die internen Kosten allein auf 100 Millionen festzurrt.

Da wundert man sich doch, wie dezidiert hier Einzelbereiche geschätzt werden und wie weit die Beträge mitunter auseinander liegen. Und da hat man dann durchaus den Eindruck es geht mehr um guesstimates als um estimates. Gibt es eigentlich ein Vorgehensmodell, um Schäden wirklich nachvollziehbar einzuschätzen? Ausnahmsweise liefert die Börse hier ein klares Signal - die Schäden entstehen allerdings nicht unmittelbar dem Konzern oder den Kunden, sondern den Aktienbesitzern.

TeleTrusT und Microsoft tun was gegen Phishing. Die Lösung ist so einfach, man hätte schon viel früher darauf kommen können. Und so falsch, dass man besser nie darauf gekommen wäre. Das Schlangenöl des Tages: Extended-Validation-Zertifikate. Das sind besondere SSL/TLS-Serverzertifikate.

Read the rest of this entry »

Wenn man Besuchern eines bisher öffentlichen Festivals an neu geschaffenen Eingängen in einem neuerdings vorhandenen Zaun mitgebrachte Getränke wegnehmen will, dann kann man das auch so umschreiben:

»Das Schlossgrabenfest bekommt erstmals in seiner Geschichte fest definierte “offizielle” Eingänge für einen kontrollierten Zugang. Hier werden die Besucher ab diesem Jahr durch Hostess-Service und Sicherheits-Personal persönlich und hilfsbereit begrüßt und auf dem Schlossgrabenfest herzlich Willkommen geheißen. (…) Ziel ist ein noch höheres Maß an Sicherheit für unsere Besucher durch einen kontrollierten Zugang zum Gelände. Das Aufkommen von Glasbruch und allgemeinem Müll, durch mitgebrachte Getränke, soll maßgeblich zum Wohl der Besucher reduziert werden.«

Schlossgrabenfest 2007